생성형 AI를 악용한 새로운 공격 기법은 기존 보안 체계만으로는 한계가 있다. 고도화되는 사이버 공격에 효과적으로 대응하기 위해 AI 활용은 필수사항으로 꼽힌다. 이와 함께 사이버 위협 정보를 지속적으로 최신화 하고, 데이터 간 연결성과 인사이트 분석을 반영한 AI 데이터셋 구축 및 활용이 강조되고 있다.
 
한국인터넷진흥원(이하 KISA)은 26일 사이버보안 AI 데이터셋 우수 활용 성과공유회를 용산 로얄파크 컨벤션에서 개최했다. KISA는 국내 기업들이 지능화되는 사이버 공격에 대비해 AI를 활용하여 효과적으로 대응할 수 있도록 ‘사이버보안 AI 데이터셋’을 기반으로 한 공공·민간 활용 우수사례를 소개했다.
 
KISA는 과학기술정보통신부와 2021년부터 사이버보안 AI 데이터셋을 구축, 약 40개 수요 기업·기관에서 실증 및 활용을 지원해왔다.
 
사이버보안 AI 데이터셋 구축 분야로는 △악성코드 분야 △애플리케이션 분야 △능동형 보안관제 △위협 프로파일링 등이 있다. 특히 2023년에는 △침해사고 분야 △데이터셋 최신화와 함께 △위협 인텔리전스 분야 △위협헌팅 분야 등에 대한 데이터셋 6억건이 구축됐다. 위협 헌팅 분야에서는 선거, 올림픽, 캠페인 등 사회이슈 연관 사이버 위협 정보 수집 및 분석한 데이터셋이 구축된다.
 
KISA는 데이터셋 구축부터 검증 및 실증, 개방 및 성과 확산 등 전 과정을 수행한다. 악성코드, 침해사고 이벤트 및 IoC(Indicators of Compromise) 등 원시 데이터 수집 및 분석, 가공 및 라벨링해 AI 데이터셋을 구축한다. 예컨대 코로나 팬데믹, 러우전쟁 등 최신 위협 요소를 반영한 키워드로 라벨링이 진행된다. 데이터셋은 Rest API, SDK, 온프레미스, 데이터셋 자체 등 4가지 형태로 제공된다.
 
KISA 최보민 선임연구원은 "실제 침해 대응 업무에 적용해 그 실효성을 검증해왔으며, 2023년에는 보안 기업뿐 아니라 공공기관, 여행·레저, 에너지, 금융, IT 등 현장에서 활용됐다"며, "KISA는 2023년도 사례집을 발표해 사이버보안에 AI 도입을 위한 유용한 지침을 제공해 향후 발전을 위한 마중물이 되길 기대한다"고 말했다.
 
이날 행사에서 공공분야 우수사례로 광주광역시청이 지난해 9월부터 12월까지 진행한 사이버 보안 AI 관제시스템 구축 사업을 소개했다. AI EDR은 고도화된 AI 기술이 적용된 EDR 보안체계로 랜섬웨어를 예방하는 시스템이다.
 
머신러닝 알고리즘을 활용해 랜섬웨어의 이상 행위를 실시간 탐지 및 차단, 위협 분석 및 대응 과정을 자동화한다. 광주광역시청은 2024년에는 지자체 최초 공공기관 업무용 컴퓨터 보안을 강화하기 위해 EDR(엔드포인트 탐지 및 대응) 시스템을 추가했다.
 
광주광역시청은 KISA 데이터셋을 활용해 신뢰성을 확보한 대규모 데이터를 바로 쓸 수 있어 초기 구축 비용 및 시간을 절감했다.
 
광주광역시청 임동우 주무관은 "실제 랜섬웨어에 감염된 장비 로그를 분석하지 않고서는 랜섬웨어 감염 행위를 AI 모델에 학습시킬 수 있는 데이터셋 확보가 어렵다. 이에 KISA 데이터셋이 해결했다"고 말했다.
 
예컨대 핸섬웨어 24종의 경우, AI 모델이 이를 탐지하는 데 평균 약 16분이 소요된다. AI 모델 기존 모델보다 실시간 대응은 떨어지지만 EDR 시스템과 달리 알려지지 않은 랜섬웨어도 악성 행위로 탐지했다.
 
임 주무관은 "AI 모델은 실시간 대응 성능은 EDR에 비해 일부 개선이 필요하나, EDR이 탐지 못한 랜섬웨어도 탐지했다. 이에 따라 상호 보완적으로 AI 기반 EDR 모델을 도입해 보안 체계를 강화했다"고 말했다.
 
과기부는 “앞으로도 사이버보안 인공지능 데이터셋을 지속적으로 구축 및 고도화하여 국내 사이버보안 시장 경쟁력을 강화하고 우리 기업들이 세계 인공지능 보안 기술을 선도할 있도록 적극 지원하겠다”고 밝혔다.